Surface で BitLocker の TPM ロックアウトを繰り返す場合の対処 (16/05 追記あり)
こんにちは。 Surface 法人向けサポート担当の岩松です。
法人のお客様では、 BitLocker の機能により、 PIN 入力など、Surface のスタートアップ時に追加の認証を求める設定をされているケースがあります。
PIN 入力を求める設定にした場合、 OS の起動前に以下の画面が表示されます。
この場合に、 PIN 入力が受け付けられなくなり、 BitLocker の回復パスワードの入力を求められる現象(TPM ロックアウト)が発生することがあります。
本記事では、そのような現象が発生する原因と対処法についてご説明します。
1. TPM ロックアウトが発生する理由
正しい PIN が入力されているにも関わらず、 PIN 入力が受け付けられなくなるケースでは、「TPM ロックアウト」という状態が発生しています。
画面には以下のように表示されます。
これは、 PIN を総当たりで入力する攻撃を受けた場合に、多数の組み合わせの入力で最終的に PIN が破られてしまうことを防ぐ観点から、一定回数以上誤った入力を行うと誤入力カウントが蓄積して「ロックアウト」という状態になり、以降は正しい PIN を含めて一切の入力を受け付けなくなる機能によるものです。
「一定回数の誤入力カウント」のしきい値は、 Surface Pro 3 / Surface 3 の場合、 32 回に設定されています。(※1)
TPM ロックアウトが発生した場合は、 BitLocker の回復パスワードを入力することで、 OS を起動することが可能です。
ただし、回復パスワードの入力自体で誤入力カウントが減るわけではありません。つまり、このままの状態では、依然として誤入力カウントがしきい値に近い状態となっているため、わずかな入力ミス等で TPM ロックアウトが再発する可能性があります。
回復パスワードを入力したにもかかわらず、数日中にまたロックアウトされたというお問い合わせの多くは、この状況になっています。
このため、OS 起動後に、ロックアウトの再発を防ぐ対処を行っておく必要があります。
2. TPM ロックアウトの再発を防ぐための対処策
(1) TPM ロックアウトのリセット
TPM ロックアウト状態になった場合、 [TPM ロックアウトのリセット] の操作を実施していただくことで、蓄積したペナルティ回数をリセットすることができます。
実施手順は以下の通りです。管理者権限が必要なため、標準ユーザーの場合は、管理者に作業を依頼します。
1) Win + R キーで [ファイル名を指定して実行] を表示し、tpm.msc と入力します。
2) TPM 管理コンソールが起動します。
3) 右のペインから、[TPM ロックアウトのリセット] を選択します。
4) TPM 所有者パスワードの入力を求められた場合は入力します。Surface のように新規で Windows 8.1 や Windows 10 をセットアップする場合、原則として TPM 所有者パスワードは入力不要です。TPM 所有者パスワード がない場合は、先に [TPM のクリア] を実行します。(再起動が必要です)
5) [TPM ロックアウトのリセットが完了しました] と表示されれれば、誤入力カウントのリセットが完了しています。
(2) 管理者にすぐにロックアウトのリセットを依頼できない場合
「Windows OS が起動後、起動中ないしスリープの状態で 2 時間が経過するごとに誤入力カウントが 1 回分減少していく」(※2) ことから、電源に接続した状態で、シャットダウンや休止状態にせずにしばらく置いておくことで、誤入力カウントを減少させ、再度のロックアウト発生を抑制する効果が期待できます。
標準ユーザーでログオンしており、管理者にすぐにロックアウトのリセットを依頼できない場合の代替策としてご検討ください。
(※1)(※2) これは、Surface Pro 3 / Surface 3 など、TPM 2.0 チップを搭載する Windows 8 /8.1 デバイスに共通の動作になります。TPM 1.2 以前のものは、こういったロックアウトに至る誤入力の上限回数や、減少までの稼働時間はハードウェア メーカーがそれぞれ設定出来ます。(各メーカーによる設定値については、セキュリティ上の理由から、非公開とされている場合が多くなっています)
3. PIN の誤入力以外でロックアウトが発生する場合の対処
---- (a) PIN 入力画面のタイムアウト
Windows 8.1 上では、 PIN を誤入力した場合に加え、 PIN 入力画面で PIN の入力を完了せずに 1 分経過し、時間切れ(タイムアウト)でシャットダウンされた場合にも誤入力カウントが加算されます。
このため、例えば、カバンに入れて運搬中に電源ボタンが押され、 PIN 入力画面が表示されてしまい、上記のタイムアウトが発生して誤入力カウントが加算されるケースも想定されます。
(なお、 PIN 入力画面が表示されるのはシャットダウンまたは休止状態から電源を入れた場合で、スリープからの復帰時には表示されません)
上記のようなケースが疑われる場合、 Windows 8.1 の更新プログラム (KB3084905) の適用により、タイムアウトによる誤入力カウントの加算が発生しなくなり、ロックアウトの抑制が期待されます。
KB3084905 については、 Windows Update のオプションの更新プログラムとして提供中です。また、以下のページから個別にダウンロードすることもできます。(Windows 8.1 x64 版のリンクからダウンロードします)
TPM lockout occurs unexpectedly in Windows 8.1 or Windows RT 8.1
なお、 Windows 10 では上記問題は解決済みのため、更新プログラム適用の必要はありません。
---- (b) PIN 入力画面での強制電源オフ (16/05 追記)
PIN 入力画面で電源ボタンを長押しし、強制的に電源をオフにすると、誤入力カウントが加算されます。
ただし、運搬中に電源ボタンが繰り返し長押しされることは想定しづらいため、意図的に実行しなければロックアウトにつながる可能性は極めて低いものと考えております。
なお、 Surface Pro 3 で以前のシステム ファームウェアをご利用の場合、電源ボタンを一度押すことで電源が切れることがあります。
最新版を適用いただいた上で(適用方法)、必要あれば PIN 入力画面で長押しが必要なことをご確認ください。
以上の対処にも関わらず、 TPM ロックアウトが繰り返し発生する場合は、サポートまでお問い合わせください。